Con Ubuntu 25.04, Canonical compie un passo decisivo nell’evoluzione della sicurezza su Linux, introducendo il supporto completo per AMD SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging). Questa tecnologia consente di proteggere i dati non solo a riposo o in transito, ma anche durante l’esecuzione, rendendo possibile il cosiddetto confidential computing. È una svolta per ambienti cloud, server enterprise e data center, dove la fiducia nel software non è più sufficiente e la protezione deve essere garantita a livello hardware.
Il supporto SEV-SNP era già disponibile lato guest a partire da Ubuntu 22.04 LTS, ma con la versione 25.04 viene esteso anche al lato host. Questo significa che ora è possibile eseguire macchine virtuali confidenziali (CVM) su stack completamente basati su Ubuntu, senza patch esterne o configurazioni sperimentali. Tutto funziona out-of-the-box, con kernel, moduli KVM, QEMU e libvirt già pronti per orchestrare ambienti sicuri e isolati.
Cos’è il confidential computing e perché è importante
Il confidential computing è un paradigma di sicurezza che mira a proteggere i dati anche mentre vengono elaborati. Tradizionalmente, la crittografia protegge i dati solo quando sono archiviati o trasmessi, ma durante l’esecuzione in memoria restano vulnerabili. Con tecnologie come AMD SEV-SNP, è possibile creare un perimetro di fiducia direttamente nel processore, isolando la memoria delle VM e impedendo l’accesso da parte del sistema operativo, dell’hypervisor o di eventuali amministratori non autorizzati.
Questo approccio è particolarmente utile in ambienti condivisi, come i cloud pubblici, dove più clienti utilizzano la stessa infrastruttura. Ma anche nei data center privati, dove la sicurezza fisica non è più sufficiente a garantire l’integrità dei dati. Insider threat, vulnerabilità nel kernel o nel firmware, e accessi non controllati sono rischi reali. Il confidential computing sposta la fiducia dal software al silicio, riducendo drasticamente la superficie di attacco.
Ubuntu 25.04 e AMD EPYC: una sinergia per la virtualizzazione sicura
Il supporto SEV-SNP in Ubuntu 25.04 è pensato per le piattaforme AMD EPYC di ultima generazione, in particolare Milan e Genoa. Questi processori includono il Secure Processor (PSP), che gestisce le chiavi di crittografia per ogni VM e controlla l’integrità della memoria tramite una tabella di paging sicura. Ubuntu 25.04 integra tutte le componenti necessarie: kernel Linux 6.14 con moduli SEV-SNP, QEMU 9.2 con supporto per il lancio e la misurazione delle VM, e strumenti utente per la gestione tramite libvirt.
Questa integrazione consente di creare ambienti completamente isolati, dove ogni VM è protetta da chiavi uniche e non accessibili nemmeno al sistema host. È una trasformazione radicale del concetto di virtualizzazione, che non si limita più alla separazione logica, ma garantisce anche la separazione crittografica.
Implicazioni per il futuro del cloud e della sicurezza Linux
L’introduzione del supporto host per SEV-SNP in Ubuntu 25.04 non è solo una novità tecnica, ma un segnale forte per il futuro del cloud computing. Canonical prepara il terreno per Ubuntu 26.04 LTS, dove queste funzionalità saranno consolidate e disponibili in ambienti di produzione su larga scala. La scelta di annunciare ufficialmente il supporto solo dopo mesi dal rilascio riflette la volontà di garantire stabilità, compatibilità e affidabilità.
